2187790

Einfacher Code hebelt SIP-Schutz in OS X aus

31.03.2016 | 17:20 Uhr |

Apples System Integrity Protection ist nicht ohne Lücken, wie ein Sicherheitsforscher mit wenigen Code-Zeilen nachweist.

Mit El Capitan hat Apple die neue Sicherheitsfunkton System Integrity Protection eingeführt. Die auch SIP oder Rootless genannte Funktion verhindert die Schreibzugriffe auf Systemordner. Selbst Administratoren können auf die Systemordner /System, /bin, /usr und /sbin nicht mehr zugreifen – ein zusätzlicher Schutz gegen Malware und Hacker.

Allerdings haben deshalb auch Anwendungen wie Total Finder ein Problem: Es ist nicht mehr möglich, Anwendungen zu entwickeln die gewisse Systemeigenschaften besitzen, beziehungsweise diese verändern.

MIt einem einfachen Befehl kann man SIP überlisten.
Vergrößern MIt einem einfachen Befehl kann man SIP überlisten.

Offensichtlich hat das Konzept aber noch Sicherheitslücken, wie jetzt The Register berichtet . Im letzten Sicherheitsupdate musste Apple bereits mehrere Fehler beheben, über die ein Anwender Root-Rechte erlangen konnte. Laut Stefan Esser von der Firma Sektion Eins , der diese Lücken bei der SyScan 360 präsentierte, gibt es aber noch weiterhin bestehende Angriffsmöglichkeiten. Es gibt nämlich Systemtools, die man für das Erlangen von Root-Rechten zweckentfremden kann. So kann man ein Systemtool namens fsck_cs  dazu nutzen, eine Konfigurationsdatei zu ersetzen, die alle zu blockenden Erweiterungen erhält. Eigentlich ist das Tool für das Prüfen von Core Storage gedacht, hat aber die nötigen Rechte, durch SIP geschützte Datein zu verändern. Für die Nutzung dieses Hacks ist zwar ein weitgehender Zugriff auf einen Mac notwendig, offensichtlich ist aber Apples Rootless-Konzept in der Praxis weniger leicht abzusichern als von Apple gedacht.

0 Kommentare zu diesem Artikel
2187790